ナレッジドキュメント

※この記事は以下の記事の日本語訳です。 How to Allow a Single YouTube Video and Block All Other Videos https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClGzCAK     1 つの YouTube 動画へのアクセスのみ許可し、それ以外の動画は全てブロックする方法 この記事は、1つのYouTube動画(https://www.youtube.com/watch?v=hHiRb8t2hLM)へのアクセスのみ許可し、それ以外の動画のアクセスは拒否したい場合の例です。 これを達成するには、以下の手順に従ってください。   手順 URL フィルタリングプロファイルにて、streaming-mediaをブロックに設定してください。WebGUI > Objects > セキュリティ プロファイル > URL フィルタリング > 利用したい URL フィルタリングプロファイルをクリックします。 これはURL フィルタリングプロファイルでstreaming-mediaをブロックに設定した際の画面です。   Objects > カスタム オブジェクト > URL カテゴリ から、カスタム URL カテゴリを作成します。 カスタム URL カテゴリには以下のエントリを追加する必要があります。   *.youtube.com *.googlevideo.com www.youtube-nocookie.com www.youtube.com/yts/jsbin/ www.youtube.com/yts/cssbin/   これですべてのYouTubeページやコンテンツが復号化され、完全なHTTP GETが取得できるようになります。   「SSL フォワードプロキシ」タイプの復号ポリシーを追加し、その「サービス/URL カテゴリ」に、上記で追加したカスタムURLカテゴリを設定します。 SSL 復号に関しては、以下の記事を参照してください。 How to Implement and Test SSL Decryption URL フィルタリングプロファイルに移動し、以下のURLを許可リストに追加します。   www.youtube.com/watch?v=hHiRb8t2hLM *.googlevideo.com   1つ目のエントリはコンテナページ自体のURL、2つ目の *.googlevideo.comは、*.googlevideo.com の Google CDN で表示されるコンテナページから取得されるメディアを許可します。   また、URLフィルタリングプロファイル上で、作成したカスタムURLカテゴリが"allow"になっていることを確認してください。 これはURLフィルタリングプロファイルで許可リストを設定した際の画面です。   Commitを実行し、動作をテストします。   Milvaldiの貢献に感謝します。   注:この手順はこの記事が発行された時点では有効でしたが、YouTubeはサーバーの設定を絶えず変更しているため、今後動作しなくなる可能性もあります。   著者: jdelio  
記事全体を表示
hfukasawa ‎12-21-2018 02:50 AM
6,126件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Check if an Application Needs Explicitly Allowed Dependency Apps https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Check-if-an-Application-Needs-Explicitly-Allowed/ta-p/61893     PAN-OS 5.0, 6.0, 6.1   概要 PAN-OS 5.0 以前は、依存関係を持つアプリケーションを許可するために、セキュリティポリシー上ですべての依存関係をもつアプリケーションを同様に許可する必要がありました。   PAN-OS 5.0 より、いくつかのプロトコルのアプリケーションは明示的に依存関係を可能にするために必要とせずに許可することができます。Palo Alto Networks ファイアウォールは、ライブセッションで事前定義された特徴を持つのアプリケーションを識別することができれば、いくつかのアプリケーションに対してこれを実施できます。Palo Alto Networks デバイスが事前に定義された特徴によってアプリケーションを決定することができないようデベロッパーによって作成されている場合、そのアプリケーションはセキュリティルールの一つによって遮断することができます。これらのアプリケーションには依存関係を持つアプリケーションの明示的な許可が必要とされます。   ここではこのプロセスを説明するために、以下の用語を適用します: イネーブラーアプリ (Enabler app) :セッションが最初に一致するApp-ID (例. web-browsing) 従属アプリ (Dependent app) :セッションがあとで一致するApp-ID (例. facebook-base)   注: アプリケーションを許可する場合は、常に依存関係を確認してください。また、正しいポリシーを作成することができるよう、依存アプリケーションで暗黙的に使用されるアプリケーションもチェックしてください。   詳細 正しくライブセッションで事前に決定ポイントで特定することができる上記のアプリケーションでは、ファイアウォールは、暗黙的にイネーブラアプリを許可します。このためにファイアウォールはアプリケーションのコンテンツアップデートのメタデータの一部である “uses-apps” と “implicit-uses-apps” を使用します。 “implicit-uses-apps” のアプリリストを持っているアプリケーションの場合、それらのアプリケーションは暗黙的に許可されるため、別途許可するためのセキュリティルールは必要ありません。   アプリケーション定義の一部として “uses-apps” のアプリリストを持ち、“implicit-uses-apps” アプリのリストを持っていないアプリケーションの場合、依存するアプリケーションを許可するために、明示的にそれら(イネーブラーアプリケーション)を許可する必要があります。これは、別のセキュリティルールとして追加することも、同じルールに設定して依存するアプリケーションを許可することもできます。   アプリケーション定義で、明示的にイネーブラアプリケーションを許可する必要があるかどうかをチェックすることができます。コンフィギュレーションモードから次のコマンドを実行します。 # show predefined application <name-of-app>   手順 この例として、ここでは "facebook-base" と "office-on-demand" を使用します。   Facebook-base アプリケーション定義: # show predefined application facebook-base facebook-base {   ottawa-name facebook;   category collaboration;   subcategory social-networking;   technology browser-based;   description "......THIS PART IS OMITTED..... ";   alg no;   appident yes;   vulnerability-ident yes;   evasive-behavior no; consume-big-bandwidth no;   used-by-malware yes; able-to-transfer-file yes; has-known-vulnerability yes; tunnel-other-application yes;   prone-to-misuse no;   pervasive-use yes;   per-direction-regex no;   deny-action drop-reset;   run-decoder no;   cachable no;   references {     Wikipedia {       link http://en.wikipedia.org/wiki/Facebook;     }   }   default {     port tcp/80,443;   }   use-applications [ ssl web-browsing];   tunnel-applications [ facebook-apps facebook-chat facebook-file-sharing facebook-mail facebook-posting facebook-social-plugin instagram] ; implicit-use-applications [ ssl web-browsing];   applicable-decoders http;   risk 4; application-container facebook; } [edit]   facebook-base を許可するには、facebook-base アプリケーションを持つセキュリティポリシーのみが必要です。アプリケーション定義内の以下の部分に基づいて暗黙的に許可されているため、SSLやWebブラウジングを可能にする必要はありません: "use-applications [ ssl web-browsing]; implicit-use-applications [ ssl web-browsing];"   "facebook-base" のために、"facebook-base" だけを許可する "allow-facebook" のセキュリティルールがあります。web-browsing や ssl を許可する明示的なルールはありません。逆にテストの目的で、web-browsing や ssl を拒否ルールが使用されます:   ログで facebook が許可されているのが表示されます:   Office-on-demand アプリケーション定義: # show predefined application office-on-demand office-on-demand {   category business-systems;   subcategory office-programs;   technology browser-based;   description "......THIS PART IS OMITTED..... ";   alg no;   appident yes;   virus-ident yes;   spyware-ident yes;   file-type-ident yes;   vulnerability-ident yes;   evasive-behavior no; consume-big-bandwidth yes;   used-by-malware no; able-to-transfer-file yes; has-known-vulnerability yes;   tunnel-other-application no;   prone-to-misuse no;   pervasive-use yes;   per-direction-regex no;   deny-action drop-reset;   run-decoder no;   cachable no;   file-forward yes;   references {     "Office on Demand" {       link http://office.microsoft.com/en-us/support/use-office-on-any-pc-with-office-on-demand-HA102840202.aspx;     }   }   default {     port tcp/80;   }   use-applications [ ms-office365-base sharepoint-online ssl web-browsing];   applicable-decoders http;   risk 3; application-container ms-office365; } [edit]    office-on-demand 場合、 use-applications [ ms-office365-base sharepoint-online ssl web-browsing] が見られ、 implicit-use-applications のリストがありません。 これは、office-on-demand のすべての機能が正しく動作するように、リスト内のすべてのアプリケーションを明示的に許可する必要があることを意味します。 web-browsing や office-on-demand として許可されたトラフィックを見ることができます。アプリケーションはweb-browsing としてスタートし、Palo Alto Networks DFAにより正しく確認され、これにより "office-on-demand" に変更されます。   もし web がセキュリティポリシーで拒否されている場合、office-on-demand のアプリケーションを許可するルールにヒットしないため、接続が確立されていないように見えます。   owner: ialeksov
記事全体を表示
dyamada ‎11-28-2018 09:01 PM
13,988件の閲覧回数
2 Replies
※この記事は以下の記事の日本語訳です。 How to Create a New Customer Support Portal User https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClNPCA0     スーパーユーザーは新しいCSPユーザーを作成することができ、このユーザーをアカウントのメンバーとして追加することができます。 カスタマー サポート ポータルにログインします ( https://support.paloaltonetworks.com )。 現在使用しているアカウントが、資産を所有しているアカウントであることを確認します。資産を所有しているアカウントではない場合、"Current Account"メニューをクリックし、正しいアカウントを選択します。管理しているアカウント数が多い場合は、検索することができます。 "Members"の項目を展開し、"Create New User"をクリックします。 ユーザー登録フォームに記入します。 "Submit"ボタンをクリックします。 新しいユーザーアカウントが作成され、ユーザーはアカウントのメンバーとして追加されます。ユーザーの役割については以下をご覧ください。Support Portal User Role Matrix Eメールがログインする際の資格情報と共に新規ユーザー宛てに送られます。   スーパーユーザーは、新規ユーザーがアカウントにログインすることのできるリンクを作成することもできます。How to Use the Account Registration Link     著:panagent
記事全体を表示
hshirai ‎11-08-2018 12:10 AM
3,796件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Viewing the configuration in set and XML format https://live.paloaltonetworks.com/t5/Configuration-Articles/Viewing-the-configuration-in-set-and-XML-format/ta-p/65757   対象 PAN-OS: 5.0, 6.0, 6.1(訳注 8.1.3でも同様の動作をすることを確認しています。)   概要 この文書はPalo Alto Networksファイアウォールにて、CLIから設定を"set"や"xml"フォーマットで閲覧する方法を記載します。   手順 それぞれのフォーマットで設定を閲覧するために、以下のコマンドを実行します。 "set" フォーマット: > set cli config-output-format set "xml" フォーマット: > set cli config-output-format xml 設定モードに入ります。 > configure 設定全体を確認するにはshowを入力します。show network interfaceのように、一部のコンポーネント部分のみを閲覧することも可能です。 注: 必ずしもshowの出力順どおりにコマンドを実行できるとは限りません。先に表示されたコマンドは後に定義されている箇所を参照する場合もありえます。   以下の例は"set" フォーマットで設定を閲覧する方法の例です。 > set cli config-output-format set > configure Entering configuration mode [edit] # show set mgt-config devices localhost.localdomain ip 127.0.0.1 set mgt-config user admin phash fnRL/G5lXVMug set mgt-config user admin permissions role-based superuser yes   set zone L3-Trust network layer3 ethernet1/3 set zone L3-Trust network layer3 ethernet1/4 set zone L3-Trust network layer3 ethernet1/5 set zone L3-Trust enable-user-identification no   set rulebase security rules rule1 from any set rulebase security rules rule1 to any set rulebase security rules rule1 source any set rulebase security rules rule1 destination any set rulebase security rules rule1 service any set rulebase security rules rule1 application any set rulebase security rules rule1 action allow ... 著者: panagent  
記事全体を表示
TShimizu ‎10-11-2018 07:21 PM
5,626件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Create Management Users, Assign Roles, and Change Password from the PAN-OS CLI https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Create-Management-Users-Assign-Roles-and-Change-Password/ta-p/54740   概要 この記事では管理ユーザーを追加/作成し、作成した管理ユーザーにロールを割り当て、 パスワードを設定する方法を記載しています。   手順 管理ユーザーの新規作成/追加 CLI へログイン Configure mode へ移行 >   configure 管理ユーザーを作成/追加およびパスワードを設定 # set mgt-config users <name> password 注:  <name> に指定したユーザー名が既存の管理ユーザーに存在しない場合にユーザーが作成されます。 管理ユーザーにロールを設定 # set mgt-config users <name> permissions role-based <role profile> custom deviceadmin devicereader superreader superuser Commit  を実行 # commit   既存の管理ユーザーのパスワードを変更 Configure mode へ移行 >   configure 新しいパスワードを設定(既存のパスワードが上書されます) # set mgt-config users admin password Commit を実行 # commit   WebGUI WebGUIでの手順、および個々の管理者ロールプロファイルを作成する手順については 各バージョンの管理者ガイドを参照してください。管理者ガイドへのリストを下記に記載します。   PAN-OS 7.0 Administrator's Guide   PAN-OS 7.1 Administrator's Guide   PAN-OS 8.0 Administrator's Guide   owner: sraghunandan
記事全体を表示
anishinoya ‎09-27-2018 05:23 PM
3,638件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Shut Down an Interface from the Web GUI or the CLI https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Shut-Down-an-Interface-from-the-Web-GUI-or-the-CLI/ta-p/53877   Web GUI Web GUIから、Network > Interface 落としたいインターフェイス設定を選択し、AdvancedタブのLink Stateプルダウンメニューからdownを選択します。 Commitで変更を反映します。     CLI ※ ethernet1/1を落とす設定の、実行例です。   > configure Entering configuration mode [edit] # set network interface ethernet ethernet1/1 link-state down #commit   著者: ppatel
記事全体を表示
kkondo ‎09-27-2018 12:30 AM
3,138件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 IPSec and tunneling - resource list https://live.paloaltonetworks.com/t5/Management-Articles/IPSec-and-tunneling-resource-list/ta-p/67721   以下のリストにIPSecおよびTunnel設定の理解に役立つ情報を記載しています: 記事名 備考 リソースタイプ 基本 How to configure IPSec VPN IPSec VPN設定 ドキュメント Configuring the Palo Alto Networks device as an IPSec IPSec Passthrough設定 ドキュメント IPSec crypto options IPSec暗号オプション ドキュメント Why is GlobalProtect slower on SSL VPN compared to IPSec VPN? GlobalProtectのSSLオプションがIPSecVPNオプションよりも遅い理由 ドキュメント How to improve performance for IPSec traffic IPSec通信のパフォーマンスを向上させる方法 ドキュメント NAT traversal in an IPSec gateway IPSecゲートウェイでのNAT traversal設定 ドキュメント Config guidelines when terminating IPSec VPN tunnels on the firewall ファイウォールでIPSec VPNを終端する場合のガイドライン ドキュメント Sample IPSec tunnel configuration - Palo Alto Networks firewall to Cisco ASA IPSec tunnel設定例 (Palo Altot NetowrksファイアウォールとCiso ASA) ドキュメント The IPSEC tunnel comes up but hosts behind peer are not reachable  IPSec tunnelトラブルシューティング ドキュメント IPSec VPN with peer ID set to FQDN IPSec VPNのpeer IDをFQDNで設定する場合の注意点  ドキュメント What encryption is used when enabling IPSec for GlobalProtect? GlobalProtectでIPSecを有効にした場合の暗号について ドキュメント How to create an IPSec tunnel that is a responder (not initiator) IPSec tunnel (レスポンダー)設定方法 ドキュメント 中級                   IPSec tunnel details IPSec tunnelトラブルシューティング ドキュメント Differences between IPSec and LSVPN tunnel monitoring LVPNとIPSec VPN のトンネルモニタリングの相違点 ドキュメント IPSec traffic being discarded IPSsec通信のトラブルシューティング ドキュメント How to verify if IPSec tunnel monitoring is working トンネルモニタリング動作状況の確認方法 ドキュメント IPSec VPN error: IKE phase-2 negotiation failed as initiator, quick mode IPSec VPNエラーのトラブルシューティング ドキュメント IPSec interoperability between Palo Alto Network firewalls and Cisco ASA Palo Alto Networks firewallsとCisco ASA firewallシリーズのIPSec相互接続について ドキュメント How to configure dynamic routing over IPSec against Cisco routers IPSec経由でCiscoルートとのダイナミックルーティングを設定する方法 ドキュメント Configuring route based IPSec with overlapping networks ルートベースIPSecの設定 ドキュメント IPSec with overlapping subnet 重複サブネットにおけるIPSec設定 ドキュメント GlobalProtect configuration for the IPSec client on Apple iOS devices Apple iOSのIPSecクライアント向けのGlobalProtect 設定 ドキュメント Site-to-site VPN between Palo Alto Networks firewall and Cisco router is unstable or intermittent Palo Alto Networks firewallとCiscoルータ間でのSite-to-site VPNが不安定になる事象について ドキュメント Configuring captive portal for users over site-to-site IPSec VPN Site-to-site IPSec VPN経由のCaptive Portal設定 ドキュメント IPSec VPN IKE phase 1 is down but tunnel is active IPSec VPNトンネルがアクティブの状態でIKE Phase 1がダウンしている事象について ドキュメント Tips for configuring a Juniper SRX IPSec VPN tunnel to a Palo Alto Networks firewall Juniper SRX IPSecとPalo Alto Networks firewall間のIPSec VPNトンネル設定における Tips ドキュメント Dynamic IPSec site-to-site between Cisco ASA and Palo Alto Networks firewall Cisco ASAとPalo Alto Networkファイウォール間におけるダイナミック site-to-site IPSecについて ドキュメント IPSec site-to-site between Palo Alto Networks firewall and Cisco with NAT device Cisco機器とPalo Alto Networkファイアウォール間にNAT機器がある場合のIPSec site-to-site接続について  ドキュメント How does the firewall handle diffserv headers in an IPSec tunnel? IPSecトンネルにおけるDiffservヘッダーの扱いについて ドキュメント IP phone switch not working through IPSec tunnel IPSecトンネル経由でIPフォンスイッチが動作しない ドキュメント 上級           IPSec tunnel is up and packet is getting dropped with wrong SPI counter increase "wrong SPI" カウンタが増加しパケットがドロップされる事象について ドキュメント Configuring route-based IPSec using OSPF OSPFを利用したRoute-based IPSec設定 ドキュメント IPSec error: IKE phase-1 negotiation is failed as initiator, main mode due to negotiation timeout IPSecラブルシューティング ドキュメント Site-to-site IPSec excessive rekeying on only one tunnel on system logs Site-to-Site IPSecで1つのトンネルのみ大量の rekeyが発生する ドキュメント CLI commands to status, clear, restore and monitor an IPSec VPN tunnel IPSec CLIコマンド ドキュメント What do the port numbers in an IPSec-ESP session represent? IPSec-ESPセッションのポート番号について ドキュメント Configuring IPSec VPN between PAN-OS and CheckPoint Edge / Safe@Office PAN-OSとCheck Point Edge / Safe@Office間のIPSec VPN設定 ドキュメント Configuring site-to-site IPSec VPN in layer 2 Layer 2 インターフェースでの site-to-site IPSec VPN 設定 ドキュメント Site-to-site IPSec VPN between Palo Alto Networks firewall and Cisco router using VTI not passing traffic Palo Alto NetworksファイアウォールとVTIを利用したCiscoルータ間のIPSecトラブルシューティング ドキュメント Configuring IKEv2 VPN for Microsoft Azure Environment Microsoft AzureとのIKEv2 VPN設定 ドキュメント  
記事全体を表示
anishinoya ‎09-12-2018 01:52 AM
5,861件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Dynamic Update Fails with "Image File Authentication Error" Message https://live.paloaltonetworks.com/t5/Management-Articles/Dynamic-Update-Fails-with-quot-Image-File-Authentication-Error/ta-p/62252   問題 ダイナミック更新 (Dynamic Updates) が次のようなメッセージで失敗する: " content update failed with the following messages: Image File Authentication Error Failed to extract rpm file /opt/pancfg/mgmt/content-images/tmp/panupv2-all-contents-313-1422.tgz ".   手動で更新パッケージをインストールする場合も、結果として同じエラーが発生します。 解決策 3つの異なる解決方法があります。   解決方法 1 - 更新サーバの変更 もしあなたが更新サーバとしてstaticupdates.paloaltonetworks.comを設定しており、PAN-OS 7.1.7以降をお使いの場合、更新サーバの設定変更が必要です。 WebGUIにて、 Device > セットアップ > サービス に移動し、ワークアラウンドとして更新サーバを"staticupdates.paloaltonetworks.com " から " updates.paloaltonetworks.com " に変更してください。 注: ファイアウォールから staticupdates.paloaltonetworks.com -  199.167.52.15 のIP アドレスだけにアクセスを許可するセキュリティ ルールを設定していないか確認してください。もし設定しているのであれば、以下の新しいIP/URLに設定変更する必要があります: updates.paloaltonetworks.com - 199.167.52.141 に変更後、commitしてからテストしてください。 Device > Setup > Services window showing the update server details.   解決策 2 - アップデート ファイルの削除と再ダウンロード 全てのコンテント アップデートを削除してから再ダウンロードすることでこの問題が解決するか確認してください。 WebGUIにて、   Device > ダイナミック更新 からこの手順を実行できます。 WebGUIからアップデート ファイルを削除し、"今すぐ更新 (check now)"を実行してから新しいアップデート ファイルをダウンロードします。ダウンロードが完了したらインストールを実施し、エラーなしで完了するかどうかを確認します。 Device > Dynamic Update screen showing how to delete an update. CLIの場合は、以下のコマンドでコンテンツ パッケージの削除をしてから、再ダウンロードとインストールを実施してください: admin@myNGFW> delete content update <value> Filename   解決策 3 - PAN-OSの再インストール 最後の手順として、上記2つの解決策がうまくいかない場合、ファイアウォールのPAN-OSを再インストールしてください。 PAN-OSの再インストールは、以下の手順で行えます: 現在のコンフィグをバックアップする。 次のドキュメントの手順1を参照してください: How to Save an Entire Configuration for Import into Another Palo Alto Networks Device。 設定を他のPalo Alto Networksデバイスへ移行する手順(日本語訳) Device > ソフトウェア に移動し、現在のPAN-OS バージョンのアクション列にある"再インストール"をクリックします: Device > セットアップ > 操作 > デバイスの再起動 からファイアウォールを再起動します。 ダイナミック更新にて"今すぐチェック"を実行後、最新のコンテンツをダウンロード/インストールしてください。   著者: rkalugdan   
記事全体を表示
tsakurai ‎09-03-2018 08:01 PM
4,558件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Backing Up and Restoring Configurations https://live.paloaltonetworks.com/t5/Featured-Articles/Backing-Up-and-Restoring-Configurations/ta-p/65781   パロアルトネットワークス次世代ファイアウォールのバックアップからの設定情報の復元方法、保存とコミットの違い、Device > Setup > Operations > Configuration Management配下の様々なアクションについて学びます。         保存とコミットの違い   変更を設定情報ファイルに保存することと、変更をファイルにコミットすることは大きな違いがあります。パロアルトネットワークスは管理者が将来利用目的で、変更したり、それらを保存したりすることができます。しかしながら、管理者が変更を設定ファイルにコミットした場合、変更は、実行中の設定に上書きされ、即有効となります。   それゆえに、設定変更を加える前に、 実行中の設定を保存することをお勧めします。シリアスな設定ミスをして、バックアップを取得しておかなかったために、変更を戻したり、前回の設定に引き戻しすることが困難になります。   設定の保存、リストアについて パロアルトネットワークスのオペレーティングシステムは管理者に以下のオプションを提供します:     検証 候補設定の検証 戻す 最後に保存した設定に戻す   実行中の設定に戻す 保存 名前付き設定スナップショットの保存   候補設定の保存 ロード 名前付き設定スナップショットのロード   設定バージョンのロード エクスポート 名前付き設定スナップショットのエクスポート   設定バージョンのエクスポート   デバイス状態のエクスポート インポート 名前付き設定スナップショットのインポート   デバイス状態のインポート   検証—候補設定の検証   候補設定のエラーをチェックします。パロアルトネットワークスOSでは、管理者がコミットしていない、保存した設定ファイルの検証をすることができます。検証プロセスでは、設定情報上の、可能性のあるエラー、競合を精査します。管理者には出力結果が提示されます。この機能は、設定ミスや、間違った設定情報ファイルをロードすることを避けるのに、役立ちます。   戻す   もし設定情報の間違いをしてしまった場合に、オペレーティングシステムは最後に保存した設定情報、実行中の設定に即座に戻すことができます。最後に保存した設定情報、実行中の設定に違いがある場合、これらの2つのオプションは、ワンクリック復元と呼びます。どのファイルから復元するかは選択できません。両方のオプションは、2つの違う情報ソースから設定を復元します:   保存した設定情報から戻すのは、xmlファイルから復元します。 実行中の設定から戻すのは、running-config.xmlファイルから復元します。   最後の保存した設定情報に戻す   戻すオプションは、ローカル装置上の最後に保存した候補設定から復元します。現在の候補設定は上書きされます。 候補設定が保存されていない場合、エラーが発生します。重要な装置を設定している際に、素早く復元する便利な機能です。   これは最初に表示されるプロンプトで、復元を継続していいか聞いています。   2個目のメッセージでは、どのファイルから復元したか通知します。     パロアルトネットワークスの装置は、実行中の設定のスナップショットを生成し、ハードディスク上に保存します。実行中の設定の新しいバージョンは、変更したり、コミットした際に毎回作られます。これはとても便利な機能で、管理者が意図していない変更を加えた場合に素早く設定情報を以前の状態に戻すことができます。   実行中の設定に戻す   このオプションは、running-config.xmlから設定を復元します。現状の実行中の設定は上書きされます。   これは最初に表示されるプロンプトで、復元を継続していいか聞いています。     2個目のメッセージでは、どのファイルから復元したか通知します。       設定ファイルを保存する   設定ファイルを保存する方法は2つあります。   名前付き設定スナップショットを保存する。 候補設定を保存する。   これらはどういう違いがあって、なぜ2つのオプションがあるのでしょうか?   名前付き設定スナップショットの保存オプションは候補設定をファイルに保存します。保存している設定情報ファイルは実行中の設定に上書きされません。この機能は、バックアップファイルを作成したり、将来的に変更、もしくはラボ環境で試験をするためにダウンロードされた試験用の設定情報ファイルとして利用するのにとても便利です。ファイルに名前付けすることも、既存のファイルに上書きすることも可能です。注意:実行中の設定(running-config.xml)には上書きできません。   候補設定を保存 候補設定をフラッシュメモリ(ページトップにある、Saveをクリックするのと同様の意味)に保存します。   名前付き設定スナップショットのロード   候補設定を実行中の設定(running-config.xml)もしくは、以前インポートされた、保存された設定情報からロードします。ロードすべきファイルを選択します。現行の候補設定は上書きされます。   設定バージョンのロード 特定バージョンの設定情報をロードします。   名前付きされた設定スナップショットのエクスポート 実行中の設定情報(running-config.xml)もしくは過去に保存、インポートされた設定情報をエクスポートします。エクスポートすべきファイルを選択します。ファイルを開く、もしくはネットワーク上のロケーションに保存します。   設定情報バージョンのエクスポート 特定バージョンの設定情報をエクスポートします。   Panoramaおよびデバイスの設定バンドルのエクスポート(Panoramaのみ) Panoramaと管理している各々のファイアウォールの最新バージョンの実行中の設定情報バックアップを手動で生成、エクスポートします。自動的に生成、エクスポートするバンドル設定情報を日次でSCPもしくはFTPサーバに保存する方法については“Scheduling Configuration Exports"を参照ください。   デバイス状態のエクスポート(ファイアウォールのみ) この機能は設定情報と動的情報をGlobalProtectポータルにて、大規模なVPN機能を有効設定しているファイアウォールからエクスポートする場合に使われます。もしポータルが失敗に遭遇している場合に、エクスポートされたファイルをインポートすることによって、ポータルの設定や、動的情報を復元することができます。   エクスポートされたファイルには、ポータルが管理しているサテライトデバイスリストや、エクスポートされたタイミングでの実行中の設定情報、そして、全ての証明書情報(Root CA, サーバ情報、サテライト証明書)が含まれます。   重要 : 手動で、機器ステートのエクスポートを走らせるか、ファイルをリモートサーバにエクスポートするスケジュールされたXML APIスクリプトを作成する必要があります。サテライト証明書がしばしば変更になる可能性があるため、これは定期的に実施する必要があります。   デバイス状態ファイルをCLIから作成するためには、設定モードから、デバイス状態の保存を実行する必要があります。 ファイル名はdevice_state_cfg.tgzとなり、/opt/pancfg/mgmt/device-stateディレクトリに保存されます。ファイルをエクスポートするオペレーショナルコマンドは、scp export device-state(tftp export device-stateも利用可能)です。XML APIを使用した情報については、XML API Usage Guideを参照ください。   名前付き設定スナップショットのインポート 設定情報ファイルをネットワークのロケーションからインポートします。Browseをクリックし、設定すべき設定情報ファイルを選んでください。   デバイス状態のインポート (ファイアウォールのみ) エクスポートオプションを使ってエクスポートされたデバイス状態をインポートします。これは、実行中の設定、Panoramaテンプレート、共有のポリシーを含みます。もし装置がGlobal Protectポータル設定がある場合、エクスポートされたファイルは、証明局(CA)情報、サテライト装置のリスト、そしてそれらの認証情報を含みます。   著者: rchougale
記事全体を表示
kkondo ‎08-16-2018 10:27 PM
7,713件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Dead Peer Detection and Tunnel Monitoring https://live.paloaltonetworks.com/t5/Configuration-Articles/Dead-Peer-Detection-and-Tunnel-Monitoring/ta-p/61371   概要 デッド ピア検出(DPD)とは、非アクティブまたは使用不能なインターネット鍵交換(IKE/Phase1)ピアを検出する方法で、RFC 3706に記載されている機能を指します。トンネル モニタリングはPalo Alto Networks独自の機能で、IPSEC トンネルの対向インターフェイスに対してPINGを送信することで、IPSEC トンネルをトラフィックが正常に通過することを確認します。トンネル モニタリングを"モニター プロファイル"と組合わせて使用することで、トンネル インターフェースをダウンさせるとともに、ルーティングを更新し、トラフィックをセカンダリ ルートを用いてルーティングできるようにします。トンネル モニタリングはDPDを必要としません。デッド ピア検出はIPSEC トンネルの両端で有効または無効にする必要があり、片方が有効でもう片方が無効の状態の場合、VPNの信頼性に問題を引き起こす可能性があります。   詳細 デッド ピア検出 DPDはIKE-SA (Security Association and IKE, Phase 1) の死活監視機能です。 DPDはピア デバイスがまだ有効なIKE-SAを持っているかどうかを検出するために使用されます。定期的に"ISAKMP R-U-THERE" パケットをピアに送信し、ピアは"ISAKMP R-U-THERE-ACK" パケットで確認応答します。   Palo Alto Networksは現時点でDPD パケットに関連するログをもっていませんが、デバッグ パケット キャプチャで検出できます。以下はピア デバイスからのpcapです:   Mar  4 14:32:36 ike_st_i_n: Start, doi = 1, protocol = 1, code = unknown (36137), spi[0..16] = cd11b885 588eeb56 ..., data[0..4] = 003d65fc 00000000 ... Mar  4 14:32:36 DPD; updating EoL (P2 Notify Mar  4 14:32:36 Received IKE DPD R_U_THERE_ACK from IKE peer: 169.132.58.9 Mar  4 14:32:36 DPD: Peer 169.132.58.9 is UP status_val: 0.   DPD のクエリと遅延間隔は、Palo Alto Networks デバイスでDPDが有効になっているときに設定できます。DPDはピアが応答しなくなったことを認識するとSAを破棄します。 注: DPDは永続的ではありません、またフェーズ2のRe-Keyによってのみトリガーされます。つまりフェーズ2が稼働している場合、Palo Alto Networks ファイアウォールはIKE-SAがアクティブかどうかを確認しません。フェーズ1のIKE-SAを確認するためのDPDをトリガーするために、フェーズ2のRe-Keyをトリガーするには、トンネル モニタリングを有効にします。   トンネル モニタリング トンネル モニタリングはIPSec トンネル全体の接続性を確認するために使用されます。トンネル モニター プロファイルを作成する際に、トンネルが使えない場合の2つのアクション オプションとして、"回復を待機(Wait Recover)"か"フェイル オーバー(Failover)"のどちらかを指定します。 回復を待機: トンネルが回復するまで待機し、他のアクションは実行しません。 フェイル オーバー: 利用可能な場合、トラフィックをバックアップ パスにフェイル オーバーします。 どちらの場合も、復旧を早めるためファイアウォールは新しいIPsec キーのネゴシエートを行います。 指定されたアクションを実行する前に待機するハートビートの数を指定するために、"しきい値(Threshold)"オプションを設定することができます。この範囲は2~100で、デフォルトは5です。"ハートビート間隔(Interval)"も設定できます。範囲は2~10で、デフォルトは3秒です。   以下に示すように、トンネル モニタリング プロファイルが作成できたら、それを選択し監視するリモート エンドのIP アドレスを入力します。   著者: panagent
記事全体を表示
tsakurai ‎07-31-2018 06:27 PM
4,300件の閲覧回数
0 Replies
1 Like
※この記事は以下の記事の日本語訳です。 Tips & Tricks: Forward traffic logs to a syslog server https://live.paloaltonetworks.com/t5/Featured-Articles/Tips-amp-Tricks-Forward-traffic-logs-to-a-syslog-server/ta-p/71966   トラフィックログをPalo Alto Networks ファイアウォールからSyslog サーバに転送する必要がありますか?レポーティング、法令上、保存領域といった理由から、それらのログをファイアウォールからSyslog サーバに転送設定する必要があります。このステップ バイ ステップにそって設定してみてください。トラフィック ログをSyslog サーバに転送するには以下の4つのステップが必要です。   Syslog サーバ プロファイルの作成。 ログ転送プロファイルの作成。 作成したログ転送プロファイルをセキュリティ ポリシーに設定。 コミットにて変更を反映。 ステップ1. Syslog サーバ プロファイルの作成 WebUIからDevice > サーバー プロファイル (Server Profiles) > Syslogに移動。 2. 名前 (Name) : Syslog サーバ プロファイルの名前を入力 (最大31文字)。名前は大文字小文字を区別し、ユニークでなければなりません。      使える文字は、アルファベット、数字、スペース、ハイフンとアンダースコアです。 3. 追加 (Add) をクリックし、Syslog サーバ名を入力 (最大31文字)。名前は大文字小文字を区別し、ユニークでなければなりません。      使える文字は、アルファベット、数字、スペース、ハイフンとアンダースコアです。     Syslog サーバー (Syslog Server): Syslog サーバのIPアドレスを入力。 転送 (Transport): Syslog メッセージを送付するプロトコルをUDP、TCPもしくはSSLから選択。 ポート (Port): Syslog サーバのポート (スタンダードポート : UDPは514; SSLは6514; TCPは任意の番号を指定)を入力。 フォーマット (Format): 使用するSyslog フォーマット: BSD (デフォルト設定) もしくはIETFを指定。 ファシリティ (Facility):  Syslogのスタンダード値の一つを選択。Syslog サーバがFacility フィールドをどのように使ってメッセージを管理するかマッピングします。Facility フィールドの詳細については、 RFC 3164  (BSD format)もしくは RFC 5424 を参照ください。   あなたのSyslog サーバ プロファイルが、以下の設定例のように作成できました。     外部レポーティング ツールと連携するために、ファイアウォールはログ フォーマットをカスタマイズできます。さらに、カスタム キーの追加もできます。カスタム フォーマットは以下から設定できます。 Device > サーバー プロファイル (Server Profiles) > Syslog > プロファイル名 > カスタム ログ フォーマット (Custom Log Format):   ArcSightのCommon Event Format (CEF)に準拠したログフォーマットについては CEF Configuration Guides  を参照ください。   ステップ2. ログ転送 (Log forwarding) プロファイルの作成 WebUIからObjects > ログ転送 (Log forwarding)に移動し、追加 (Add)をクリックします。         名前 (Name): プロファイル名(最大31文字)。この名前はセキュリティ ポリシーに設定した場合に、ログ転送プロファイルの一覧に表示されます。名前は大文字小文字を区別し、ユニークでなくてはなりません。使えるのはアルファベット、番号、スペース、ハイフンそして、アンダースコアです。 Syslog : トラフィック ログを送付する宛先を指定するために、Syslog サーバ プロファイルを選択します。 設定を確認してOKをクリックします。   ログ転送プロファイルが作成できました。以下のサンプルのようになっていると思います。     ステップ3. 作成したログ転送プロファイルをセキュリティ ポリシーに設定   WebUIからPolicies > セキュリティ (Security)に移動。     ログの転送設定をしたいルールを選びます。画面サンプル例はAny Allowを選択。         次に、アクション (Actions) タブに移動し、ドロップダウンから作成したログ転送プロファイルを選択し、設定が完了したらOKをクリック。     OKをクリックした後、設定したセキュリティ ルールのオプション (Options)欄に、Forwarding アイコンが表示されます。     ステップ4. 設定が完了したら、コミット (Commit)し設定を反映する。   著者: Kim
記事全体を表示
kkondo ‎07-30-2018 02:16 AM
7,544件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 When Does Palo Alto Networks Firewall Send a TCP Reset (RST) to Terminate a Session? https://live.paloaltonetworks.com/t5/Learning-Articles/When-Does-Palo-Alto-Networks-Firewall-Send-a-TCP-Reset-RST-to/ta-p/56572   TCP リセットはTCPのセッションを即時クローズします。これにより、コネクションに割当てられたリソースを解放し、システムを再利用することができます。リセットを受け取る側は、クライアント側であり、セッションが突然閉じられることで、送ろうとしたデータを送付できなかったかもしれません。   Palo Alto Networks ファイアウォールがTCP リセットを送るのは、トラフィック・フローで脅威を感知した場合のみです。それ以外の場合のTCP リセットはファイアウォールからのものではありません。   著者: aprasanna
記事全体を表示
kkondo ‎07-30-2018 01:45 AM
5,013件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Create a Security Policy to Block Selective Flash https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Create-a-Security-Policy-to-Block-Selective-Flash/ta-p/61505   概要 この記事は標準のAdobe Flash サイトをブロックしつつ、特定のFlash サイトは許可するセキュリティ ポリシーの設定方法について説明したものとなります。 注: この設定が完全に動作するにはドメインがダイナミック IP アドレスを使用していない必要があります。   手順 example.com と example.org 用のアドレス オブジェクトを作成します。 Object > アドレス に移動し、新たなアドレスオブジェクトを追加します。どちらのアドレス オブジェクトもタイプでFQDNを選択し、ドメイン名を入力します: 注:  example.com が3つのダイナミック IP アドレスにマッチする場合、取得したIPアドレスに基づいた制御になり、FQDN リフレッシュの度(デフォルト30分間隔)にアクセス可能なIP アドレスが変わることになります。 アドレス グループ オブジェクトを作成します。 Object > アドレス グループに移動し、example.com と example.org 用の新たなアドレス グループ オブジェクトを作成します: Policies > セキュリティに移動し、宛先アドレスとして新たに作成したアドレス グループを含むセキュリティ ポリシーを作成します。アプリケーションに"flash"を設定し、アクションは"Allow"を設定します。作成したらこのポリシーを最上部に移動します。 上記のセキュリティ ポリシーの下に、"flash"を拒否する別のセキュリティ ポリシーを作成します。重要なポイントは、上記で設定した以外全てのFlashへのアクセスをブロックするためにこのポリシーを2番目に設定することです。   著者: pchanda  
記事全体を表示
tsakurai ‎07-09-2018 07:18 PM
3,871件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to View Active Session Information Using the CLI https://live.paloaltonetworks.com/t5/Management-Articles/How-to-View-Active-Session-Information-Using-the-CLI/ta-p/55630   概要 この記事はCLIでアクティブなセッションの情報を確認する方法について記載しています。   詳細 アクティブなセッションを確認するために次のコマンドを実行します: > show session all filter state active ------------------------------------------------------------------------------- ID/vsys  application    state  type flag  src[sport]/zone/proto (translated IP[port])                                               dst[dport]/zone (translated IP[port] ------------------------------------------------------------------------------- 35299/1  facebook       ACTIVE  FLOW        10.16.2.100[52648]/corp-trust/6 (10.16.2.100[52648])                                             69.63.176.170[80]/corp-untrust (69.63.176.170[80]) 32026/1  ssl            ACTIVE  FLOW        10.16.3.220[45307]/corp-untrust/6 (10.16.3.220[45307])   特定のセッション IDのすべての情報を表示するには、次のコマンドを使用します: > show session id <session id> > show session id 35299 session    35299         c2s flow:                 source:  x.x.x.x[corp-trust]                 dst:      x.x.x.x                 sport:    52648        dport:    80                 proto:    6            dir:      c2s                 state:    INIT          type:    FLOW                 ipver:    4                      src-user: unknown                 dst-user: unknown         s2c flow:                 source:  x.x.x.x[corp-untrust]                 dst:      x.x.x.x                 sport:    80            dport:    52648                 proto:    6            dir:      s2c                 state:    INIT          type:    FLOW                 ipver:    4                      src-user: unknown                 dst-user: unknown         start time            : Thu May 28 11:31:58 2009         timeout              : 30 sec         total byte count      : 1603         layer7 packet count  : 13         vsys                  : vsys1         application          : facebook         rule                  : rule38         session to be logged at end      : yes         session in session ager          : no         session sync'ed from HA peer    : no         layer7 processing                : enabled         URL filtering enabled            : yes         URL category                    : personal-sites-and-blogs         session QoS rule index          : default (class 4)   vsys単位で表示するには、次のコマンドを使用します: > show session all filter vsys-name < vsys >state active > show session all filter vsys-name vsys1 state active -------------------------------------------------------------------------------- ID          Application    State   Type Flag  Src[Sport]/Zone/Proto (translated IP[Port]) Vsys                                          Dst[Dport]/Zone (translated IP[Port]) -------------------------------------------------------------------------------- 67137512     ldap           ACTIVE  FLOW  NS   192.168.55.218[62453]/trust-L3/17  (10.66.22.55[17114]) vsys1                                          10.66.22.243[389]/dmz-L3  (10.66.22.243[389]) 67137503     ldap           ACTIVE  FLOW  NS   192.168.55.218[54391]/trust-L3/17  (10.66.22.55[20289]) vsys1                                          10.66.22.243[389]/dmz-L3  (10.66.22.243[389]) 67137521     ldap           ACTIVE  FLOW  NS   192.168.55.218[49393]/trust-L3/17  (10.66.22.55[64245]) vsys1                                          10.66.22.243[389]/dmz-L3  (10.66.22.243[389]) 67137501     ldap           ACTIVE  FLOW  NS   192.168.55.218[53507]/trust-L3/17  (10.66.22.55[23654]) vsys1                                          10.66.22.243[389]/dmz-L3  (10.66.22.243[389]) 67137489     ldap           ACTIVE  FLOW  NS   192.168.55.218[64742]/trust-L3/17  (10.66.22.55[10889]) vsys1                                          10.66.22.243[389]/dmz-L3  (10.66.22.243[389]) 67137523     ssl            ACTIVE  FLOW  NS   192.168.55.218[4958]/trust-L3/6  (10.66.24.55[61829]) vsys1                                          74.125.227.233[443]/untrust-L3  (74.125.227.233[443])   著者: wtam
記事全体を表示
tsakurai ‎07-02-2018 02:41 AM
3,883件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 What Happens When Licenses Expire on the Palo Alto Networks Firewall? https://live.paloaltonetworks.com/t5/Management-Articles/What-Happens-When-Licenses-Expire-on-the-Palo-Alto-Networks/ta-p/53918   質問: Palo Alto Networks ファイウォールでライセンスの有効期限が切れた場合に何が起こりますか?   回答: ファイアウォールでライセンスの有効期限が切れた場合、下記の事象が発生します。 Support   - オンラインでのソフトウェア アップデートが不可となります。 Threat Prevention   - ThreatおよびAntivirus アップデートが実行されなくなり、スキャンには現状のデータベースが利用されます。 GlobalProtect サブスクリプション   - iOSおよびAndroid デバイスからのVPN接続が不可になります。 WildFire   - FreeバージョンのWildFire機能で動作します。つまり: WildFireではPortable ExecutableもしくはPEファイルのアップロードのみサポートします。 PEファイルタイプとは、拡張子が .exe、 .dll、.scrのファイルや、PEのヘッダー マジック ナンバーと一致したその他の拡張子のファイルを含むコンテナを意味します。 WildFire シグネチャに関しては、WildFire ライセンス有効時のようにWildFire signature feed (5分間隔)でのアップデートは行われませんが、有効なThreat Preventionのライセンスによりアップデートは行われます。 URL Filtering BrightCloud - BrightCloud データベースのアップデートは行われなくなります 。 URL Filtering ライセンスが切れた際の全体の通信に対するURL Filteringのアクションを指定できます。 WebGUI のObjects > セキュリティ プロファイル > URL フィルタリングへ進み、任意のプロファイル名をクリックし下記のウィンドウを表示します。URL Filtering ライセンスが切れた際のアクションとして、通信を許可("allow") もしくはブロック("block") の2つのオプションから選択できます。 Action On License Expiration で設定されたアクションは、当該URL Filtering プロファイルが適用されたルールにマッチする全てのウェブ通信に適用されます。アクションが"block"に指定されている場合、このルールにマッチする全てのウェブ通信は許可されません。アクションが "allow"に指定されている場合、通信は許可されます。 URL Filtering profile showing Action On License Expiration (BrightCloud) PAN-DB - PAN-DB クラウドではURLのルックアップとアップデートがブロックされます。 URL のカテゴライズには現状のデータベースが引き続き利用されます。現状のURL Filtering セキュリティ プロファイルで各カテゴリ毎に指定されているアクションがウェブ通信に適用されます。 URL エントリがキャッシュに存在する場合は、ルックアップの結果としてキャッシュ内のどのカテゴリでも返ります。 キャッシュ内のエントリが期限切れの場合もしくは存在しない場合は、ファイアウォールは最新の情報をクラウドへ問い合わせることができません。 カテゴライズされないURLへの通信は許可されます。 カスタム カテゴリ設定で指定されているURLは引き続きカスタム カテゴリに一致する動作になります。 PAN-DBの場合、URL Filtering セキュリティプロファイルに"Action On License Expiration   option "設定はありません。 新しいライセンスを取得した場合 ファイアウォールでDevice > ライセンス より新しいライセンスを取得した場合は、適用後すぐにライセンスに準じた通常の動作に戻ります。 注:  ファイアウォール上で 再度動作させるためのcommitや再起動は不要です。   著者: jjosephs
記事全体を表示
anishinoya ‎06-26-2018 09:30 PM
9,031件の閲覧回数
1 Reply
※この記事は以下の記事の日本語訳です。 How to Monitor Live Sessions in the CLI https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Monitor-Live-Sessions-in-the-CLI/ta-p/56958   詳細 次のコマンドを使用してセッション状況をリアルタイムに確認することができます:    > show session info ------------------------------------------------------------------------------- number of sessions supported:                   131071 number of active sessions:                      7501 number of active TCP sessions:                  5503 number of active UDP sessions:                  1980 number of active ICMP sessions:                 16 number of active BCAST sessions:                0 number of active MCAST sessions:                0 number of predict sessions:                     914 session table utilization:                      5% number of sessions created since system bootup: 1054609 Packet rate:                                    3298/s Throughput:                                     20321 Kbps ------------------------------------------------------------------------------- session timeout   TCP default timeout:                          3600 seconds   TCP session timeout before 3-way handshaking:    5 seconds   TCP session timeout after FIN/RST:              30 seconds   UDP default timeout:                            30 seconds   ICMP default timeout:                            6 seconds   other IP default timeout:                       30 seconds   Session timeout in discard state:     TCP: 90 seconds, UDP: 60 seconds, other IP protocols: 60 seconds ------------------------------------------------------------------------------- session accelerated aging:                      enabled   accelerated aging threshold:                  80% of utilization   scaling factor:                               2 X ------------------------------------------------------------------------------- session setup   TCP - reject non-SYN first packet:            no   hardware session offloading:                  yes   IPv6 firewalling:                             no ------------------------------------------------------------------------------- application trickling scan parameters:   timeout to determine application trickling:   10 seconds   resource utilization threshold to start scan: 80%   scan scaling factor over regular aging:       8 -------------------------------------------------------------------------------   現在のスループットと統計情報を表示する場合:    > show system statistics Device is up          : 2 days 23 hours 39 mins 11 sec Packet rate           : 2136/s Throughput            : 9599 Kbps Total active sessions : 7355 Active TCP sessions   : 5248 Active UDP sessions   : 2089 Active ICMP sessions  : 16   アクティブな全てのセッションを表示する場合:    > show session all ID/vsys   application     state   type flag   src[sport]/zone/proto (translated IP[port])                                               dst[dport]/zone (translated IP[port] ------------------------------------------------------------------------------- 4583/1    0               ACTIVE  FLOW        10.5.20.110[139]/corp-trust/6 (10.5.20.110[139])                                               192.168.83.1[4907]/corp-untrust (192.168.83.1[4907]) 16407/1   0               ACTIVE  FLOW        10.16.0.200[1475]/corp-trust/6 (10.16.0.200[1475])                                               10.5.20.110[139]/corp-untrust (10.5.20.110[139]) 119943/1  skype           ACTIVE  PRED        0.0.0.0[0]/corp-trust/6 (0.0.0.0[0])                                               75.111.30.222[443]/corp-untrust (75.111.30.222[443])   セッション フィルタのオプションを表示する:    > show session all filter + application        Application name + destination        destination IP address + destination-port   Destination port + destination-user   Destination user + from               From zone + nat                If session is NAT + nat-rule           NAT rule name + protocol           IP protocol value + proxy              session is decrypted + rule               Rule name + source             source IP address + source-port        Source port + source-user        Source user + state              flow state + to                 To zone + type               flow type   |                  Pipe through a command   フィルタ表示の例:    > show session all filter source 10.5.20.110 ------------------------------------------------------------------------------- ID        application     state   type flag   src[sport]/zone/proto (translated IP[port])                                               dst[dport]/zone (translated IP[port] ------------------------------------------------------------------------------- 22306     0               ACTIVE  FLOW        10.5.20.110[139]/corp-trust/6 (10.5.20.110[139])                                               192.168.83.1[4907]/corp-untrust (192.168.83.1[4907]) 20318     0               ACTIVE  FLOW        10.5.20.110[139]/corp-trust/6 (10.5.20.110[139])                                               192.168.189.1[4492]/corp-untrust (192.168.189.1[4492]) 111056    0               ACTIVE  FLOW        10.5.20.110[139]/corp-trust/6 (10.5.20.110[139])                                               192.168.83.1[3007]/corp-untrust (192.168.83.1[3007]) 130911    0               ACTIVE  FLOW        10.5.20.110[139]/corp-trust/6 (10.5.20.110[139])   参照 How to View/Clear Sessions How to View Active Session Information Using the CLI   著者: panagent
記事全体を表示
tsakurai ‎06-26-2018 09:10 PM
4,281件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Tips & Tricks: How to Create an Application Override https://live.paloaltonetworks.com/t5/Learning-Articles/Tips-amp-Tricks-How-to-Create-an-Application-Override/ta-p/65513   アプリケーション オーバーライドとは? アプリケーション オーバーライドは、Palo Alto Networks ファイアウォールを通過する特定のトラフィックに対して、通常のアプリケーション識別(App-ID)を特定のアプリケーションで上書きするように設定することです。アプリケーション オーバーライド ポリシーが有効になると、すぐにそのトラフィックの全てのApp-ID検査が停止され、セッションのアプリケーションはカスタム アプリケーションとして識別されます。   使用例 あなたはアプリケーション識別を上書きする必要がある理由を尋ねるかもしれません。場合によって、顧客固有のニーズに対応する独自のカスタム アプリケーションを作成する場合があります。これらのアプリケーションでは、ファイアウォールがトラフィックの動作を認識し、既知のアプリケーションとして適切に識別するためのシグネチャがない場合があります。このような場合は、識別やレポートを簡単にし混乱を避けるためのアプリケーション オーバーライドを作成することをお勧めします。   アプリケーション オーバーライドを使用する典型的なシナリオを見てみましょう。例えば、TCP ポート 23を使用する独自のアプリケーションがあったとします。しかしファイアウォールを通過するトラフィックが"temenos-t24"と誤判定されることで混乱する場合は、トラフィックを正しく識別するためにアプリケーション オーバーライドを実装することができます。   セットアップに必要なもの アプリケーション オーバーライドを設定するには、WebUIで、Policies > アプリケーション オーバーライド に移動します。設定には次のものが必要となります: アプリケーション オーバーライド ポリシーで使用するカスタム アプリケーション(推奨) アプリケーション オーバーライド ポリシー 新しく作成されたカスタム アプリケーションを許可するセキュリティ ポリシー 手順 TCP ポート 23を使用するTelnetのための新しいカスタム アプリケーションを設定する: 当該トラフィックに対して新しいカスタム アプリケーションを作成します。WebUIで、Objects > アプリケーション に移動し、左下の"追加"をクリックします。 アプリケーションに名前をつけます(この場合、既に使用されているTelnet以外のもの)。この例では"Telnet_Override"を名前として使用します。またカテゴリ、サブカテゴリ、テクノロジの値を選択します。 オプション手順: これは必須ではない別のレイヤーまたは詳細を追加するものです。 詳細 > デフォルト に進み、ポートを選択し、アプリケーションのポートを一覧表示します。 この例ではTCP ポート 23が表示されています: パラメータとして"ポート"を選択した後、"追加"をクリックし、必要に応じて例のようにプロトコルとポートを入力します。この例ではシグネチャは必要ないため、このカスタム アプリケーションの作成を完了するために"OK"をクリックします。 アプリケーション オーバーライド ポリシーを作成するために、Policies > アプリケーション オーバーライドに移動し、"追加"をクリックします: "全般"タブでポリシーの名前を入力します。この例では"Telnet_Override"を使用します。 "送信元"に移動し、送信元ゾーンを追加します。送信元が静的の場合は送信元アドレスを入力します(例を参照)。静的でない場合は"いずれか"のままにします。 "宛先に"に移動し、宛先ゾーンを追加します。宛先が静的の場合は宛先アドレスを入力します(例を参照)。静的でない場合は"いずれか"のままにします。 プロトコル/アプリケーションに移動し、プロトコルを選択してからポート番号を入力し、作成したカスタム アプリケーションを選択します。 独自のアプリケーションを使って作成したアプリケーション オーバーライドが正しく動作することの確認   この新しいアプリケーションがファイアウォールを通過することを許可するためのセキュリティ ポリシーを作成するか、既存のルールを変更します。   新しいルールを作成するには、Policies > セキュリティ に移動し、左下の"追加"をクリックします。トラフィックがカスタム アプリケーションを使用して通過するゾーンのセキュリティ ポリシーを作成します。サービスで使用されるポートを指定します。全ての新しいセッションは新しいカスタム アプリケーションで検出され、トラフィックは許可されます。 コミットを実行し、テストします。前述のようにトラフィックは"telnet"や"temenos-t24"の代わりに、Telnet_Override"を使用する必要があります。 ポリシーの変更を反映するためにコミットを実行した後、CLIで以下のコマンドを実行し、セッションの詳細を表示します。 > show session all filter application Telnet_Override  
記事全体を表示
tsakurai ‎06-26-2018 06:40 PM
4,495件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Dynamic Updates Display Error after Clicking on Check Now Button https://live.paloaltonetworks.com/t5/Management-Articles/Dynamic-Updates-Display-Error-after-Clicking-on-Check-Now-Button/ta-p/62294 症状 ダイナミック更新タブで最新のシグネチャを確認するために、"今すぐチェック" ボタンをクリックした際に、次のエラーが表示されることがあります: "Failed to check content upgrade info due to generic communication error. Please check network connectivity and try again."   原因 このエラーが表示される理由はいくつかありますが、通常はファイアウォールがインターネットに到達できるかどうかが関係しています。   解決方法   ファイアウォールで、updates.paloaltonetworks.comを解決できるようにDNS サーバーが設定されていることを確認します: WebUIから、Device > セットアップ > サービスに移動します: DNS servers ファイアウォールに適切なデフォルト ゲートウェイが設定されており、インターフェイス速度とデュプレックスが接続先のスイッチと一致するように設定されていることを確認します: Management interface properties Pingコマンドを使用してファイアウォールがFQDNを解決できることを確認します: admin@firewall> ping host www.example.com PING www.example.com (93.184.216.34) 56(84) bytes of data. 64 bytes from 93.184.216.34: icmp_seq=1 ttl=52 time=107 ms 64 bytes from 93.184.216.34: icmp_seq=2 ttl=52 time=106 ms 64 bytes from 93.184.216.34: icmp_seq=3 ttl=52 time=106 ms ^C --- www.example.com ping statistics --- 3 packets transmitted, 3 received, 0% packet loss, time 2002ms rtt min/avg/max/mdev = 106.349/106.643/107.025/0.388 ms Tracerouteコマンドを使用して、updates.paloaltonetworks.comへの通信が正しい経路を通ることを確認してください(最終ホストは応答しません) admin@firewall> traceroute host updates.paloaltonetworks.com traceroute to 199.167.52.141 (199.167.52.141), 30 hops max, 40 byte packets 1   10.192.16.1 (10.192.16.1)   0.522 ms   0.507 ms   0.497 ms 2   1.111-11-1.adsl-static.isp.belgacom.be (1.11.111.1)   32.761 ms   32.753 ms   32.740 ms 3   2 .222-22-2.adsl-static.isp.belgacom.be (2.22.222.2)   81.856 ms * * 4   * * * 5   * * * 6   * * * 7   prs-bb4-link.telia.net (213.155.136.222)   82.884 ms * * 8   ash-bb4-link.telia.net (62.115.122.159)   142.306 ms   147.212 ms * 9   sjo-b21-link.telia.net (80.91.248.188)   226.073 ms   222.208 ms   214.858 ms 10   internap-ic-140172-sjo-b21.c.telia.net (213.248.81.134)   201.253 ms   198.637 ms   219.945 ms 11   66.151.144.15 (66.151.144.15)   225.185 ms   242.096 ms   178.880 ms 12   paloaltonetit-5.border3.sje011.pnap.net (66.151.155.74)   194.397 ms * paloaltonetit-5.border3.sje011.pnap.net (66.151.155.74)   206.609 ms 13   * * * 14   * * * 15   * * * 16   * * * サービス ルートが期待どおりに設定されていることを確認します。管理ネットワークが分離されている場合は、インターネット接続のためにデータプレーンのインターフェイスを介して通信する必要があるサービスがあります: Use Default or Custom settings ファイアウォールが外部接続を行うことを許可しているセキュリティ ポリシーがあることを確認します: Note there is no URL filtering or file blocking profile SSL復号を使用している場合、updates.paloaltonetworks.comを復号対象から除外していない場合は、"更新サーバー ID の確認 (Verify Update Server Identity)"を無効にする必要があります: Verify Update Server Identity    
記事全体を表示
tsakurai ‎06-26-2018 06:25 PM
6,108件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to View/Clear Sessions https://live.paloaltonetworks.com/t5/Management-Articles/How-to-View-Clear-Sessions/ta-p/52577   ファイアウォール上のアクティブセッションを表示: > show session all ------------------------------------------------------------------------------------------ ID/vsys application state type flag src[sport]/zone/proto (translated IP[port]) dst[dport]/zone (translated IP[port] ------------------------------------------------------------------------------------------ 129617/1 skype ACTIVE PRED 0.0.0.0[0]/corp-trust/6 (0.0.0.0[0]) 97.87.56.37[28775]/corp-untrust (97.87.56.37[28775]) 114143/1 yahoo-voice ACTIVE FLOW 10.16.3.232[49259]/corp-trust/6 (10.16.3.232[49259]) 68.142.233.183[443]/corp-untrust (68.142.233.183[443])   セッション ID を指定して特定のセッションを削除: > clear session ID 129617 session 129617 cleared   全てのセッションを削除: > clear session all    セッションを削除する際に利用可能なフィルターの一覧を表示: > clear session all filter [tab] + application Application name + destination destination IP address + destination-port Destination port + destination-user Destination user + from From zone + nat If session is NAT + nat-rule Rule name + protocol IP protocol value + proxy session is decrypted + rule Rule name + source source IP address + source-port Source port + source-user Source user + state flow state + to To zone + type flow type <Enter> Finish input   特定のアプリケーションのセッションを削除: > clear session all filter application skype Sessions cleared   特定の送信元もしくは宛先 IP アドレスのセッションを削除: > clear session all filter source 192.168.51.71 Sessions cleared > clear session all filter destination 8.8.8.8 Sessions cleared     注:  セッションを削除するすべてのコマンドは、単体のファイアウォールもしくは High Availability (HA) 構成のペアのファイアウォール上で同様に動作します。     参照:   How to Clear Sessions from the Session Monitor   著者: panagent
記事全体を表示
anishinoya ‎06-25-2018 10:22 PM
2,984件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Can Policies be Exported from the Firewall? https://live.paloaltonetworks.com/t5/Management-Articles/Can-Policies-be-Exported-from-the-Firewall/ta-p/60321   ポリシーを見やすくするために、Palo Alto Networksファイアウォールからエクスポートすることはできますか?   ポリシーのエクスポート機能はありませんが、CLIより"set" フォーマットでルールを表示することが可能です。   CLIより下記のコマンドを実行:  > set cli config-output-format set   Configureモードにて下記のコマンドを実行: # show rulebase security rules  # show rulebase   (他のポリシーを表示する場合は種類を指定)   著者:  odaos
記事全体を表示
anishinoya ‎06-25-2018 10:17 PM
3,096件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to View and Install PAN-OS Software through the CLI https://live.paloaltonetworks.com/t5/Management-Articles/How-to-View-and-Install-PAN-OS-Software-through-the-CLI/ta-p/51976   概要 このドキュメントでは、CLIを使用して利用可能なPAN-OS ソフトウェアを表示したり、インストールする方法について説明します。   詳細 利用可能なPAN-OS ソフトウェアのリストを表示するために、次のコマンドを使用します: > request system software info   このコマンドは以下に示すように、利用可能なソフトウェアとダウンロード済みソフトウェアの一覧を表示します: 目的のソフトウェア バージョンが一覧にない場合は、次のコマンドで最新の利用可能なPAN-OSの一覧を取得できます: > request system software check   このコマンドは以下に示すように、このファイアウォールで利用可能な全てのソフトウェア バージョンを取得します: 目的のソフトウェア バージョンにダウンロード済みのマークが付いていない場合は、まずダウンロードしてください: > request system software download version 6.1.2   ダウンロード済みのソフトウェアをインストールするには、次のコマンドを使用してください: > request system software install version 6.1.2   インストール後、以下のコマンドを使用してデバイスを再起動します: > request restart system   参照 コマンド ライン インターフェース (CLI)の詳細については、次のドキュメントを参照してください: (訳注:原文ではPAN-OS 6.0のCLI リファレンスガイドへのリンクとなっていますので、翻訳に際しPAN-OS 7.1以降のCLI Quilck Startへのリンクと差し替えさせていただきます。) PAN-OS 7.1 CLI Quick Start PAN-OS 8.0 CLI Quick Start PAN-OS 8.1 CLI Quick Start 著者: rkotty
記事全体を表示
tsakurai ‎06-25-2018 08:48 PM
4,413件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to View Application-Default Ports for an Application https://live.paloaltonetworks.com/t5/Management-Articles/How-to-View-Application-Default-Ports-for-an-Application/ta-p/61616   概要 "Application-default" ポートは、様々なアプリケーションで使用されるデフォルトの宛先ポートであり、セキュリティ ポリシーの設定でよく使用されます。   詳細 次のコマンドを使用して、各アプリケーションの"application-default" ポートを確認することができます: # show predefined application <application>   以下の例では、"gmail-base"によって使用されるデフォルトの宛先ポートがデフォルト セクションに表示されています: > configure Entering configuration mode [edit] # show predefined application gmail-base gmail-base {   ottawa-name gmail;   category collaboration;   subcategory email;   technology browser-based;   description "Gmail is a free, advertising-supported email service provided by Google. Users may access Gmail as secure webmail, as well as via POP3 or IMAP4 protocols.";   alg no;   appident yes;   virus-ident yes;   spyware-ident yes;   file-type-ident yes;   vulnerability-ident yes;   evasive-behavior no;   consume-big-bandwidth no;   used-by-malware yes;   able-to-transfer-file yes;   has-known-vulnerability yes;   tunnel-other-application yes;   prone-to-misuse no;   pervasive-use yes;   per-direction-regex no;   timeout 1800;   deny-action drop-reset;   data-ident yes;   run-decoder no;   cachable no;   file-forward yes;   references {     Wikipedia {       link http://en.wikipedia.org/wiki/Gmail;     }   }   default {     port tcp/80,443,993,995,465,587;   }   use-applications [ imap pop3 smtp ssl web-browsing];   tunnel-applications [ gmail-chat gmail-drive gmail-enterprise google-buzz google-talk-base];   implicit-use-applications web-browsing;   applicable-decoders http;   risk 4;   application-container gmail; } Web UIで同じ情報を確認することができます。(Objects > アプリケーション) 以下のスクリーンショットは、gmail-baseのポートを表示したもので、標準ポート (Standard Ports) で確認できます:   著者: sdurga
記事全体を表示
tsakurai ‎06-25-2018 08:43 PM
2,558件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Delete Unnecessary Downloaded Software Versions https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Delete-Unnecessary-Downloaded-Software-Versions/ta-p/66014   詳細 Palo Alto Networks ファイアウォールは、ダウンロード済みソフトウェア・バージョンを、いつでも古いバージョンに戻すことができるために保存しています。アップグレード後、ディスクスペースの確保のために、古い、不必要なソフトウェアを削除したいかもしれません。   WebGUIから WebGUI > Device > Softwareを選択し、内側のパネルから実行できます。内側のパネルには現在ダウンロード済みのソフトウェアが表示されています。そして現在使用していないソフトウェアを削除することができます。例えば、現在PAN-OS 7.1.2(ベースOSイメージとしてPAN-OS 7.1.0も必要です)にて起動しているとします。PAN-OS 7.0.1 or 6.1.0といった古いVersionが不必要だった場合、削除することができます。   Device > Software tab showing the installed versions. Use the X to delete a version that is not currently activated. Device > SoftwareタブではインストールされたVersionが表示されています。”X”ボタンで、未使用なVersionを削除できます。 内側のパネルに表示されている、未使用の各PAN-OSの右側に”X”ボタンがあり、それをクリックすることで削除することができます。システムの起動には現行Versionとベース Version(例:PAN-OS 7.1.3が現行Versionで、PAN-OS 7.1.0がベース Versionの場合、双方とも削除することができません)が必要です。それ以外のVersionは削除することができます。   CLIから 以下のコマンドで古いソフトウェアを削除することができます : > delete software version <filename> PAN-OS 5.0.8を削除するコマンドの例です : > delete software version 5.0.8   ?キーや<tab>キーを入力すると、その他のオプションが表示されます。   消したいVersionを選択してください。この例では、PAN-OS 6.0.6が現行Versionで、ベース VersionのPAN-OS 6.0.0は削除できません。   注意: これらのファイルが保存されているパーティションは”/opt/panrepo”です。”> show system disk-space”コマンドをファイル削除・前後で確認してみてください。古いVersionを削除後、スペースが確保されていることが確認できます。   著者: rborda
記事全体を表示
kkondo ‎06-12-2018 09:33 PM
2,953件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Recommended update interval and timings for Dynamic Updates https://live.paloaltonetworks.com/t5/Management-Articles/Recommended-update-interval-and-timings-for-Dynamic-Updates/ta-p/215475     はじめに 本ドキュメントでは、ダイナミック更新における繰り返し周期および更新タイミングの推奨値について記載しています。  アップデート サーバーにおけるネットワーク負荷は特定のタイミングによって高かったり低かったりします。安定してアップデートを受け取るために、ダイナミック更新を行う際にはサーバーの負荷が高いタイミングをなるべく避けることをお勧めします。     推奨 1. 繰り返し周期の設定 繰り返し周期はなるべく短く設定することをお勧めします。そうすることによって、次のアップデートのタイミングが早く来るためです。   例えば、繰り返しの設定(Recurrence)が "毎日"に設定されており、仮にダイナミック更新に失敗した場合は、次の日になるまでダイナミック更新が行われません。"毎時"に設定しておくことによって、次の更新を1時間後に走らすことができます。   2. 更新タイミングの設定 (分、日時) 以下のタイミングは避けて設定するようにお勧めします。 00/01/02/03/05/10/15/16/20/25/30/31/35/40/45/46/50/55 (分)     PAN-OS 6.1                                        日時(Time)の箇所はプルダウン メニューですが、手動で値を変更することも可能です。   PAN-OS 7.0                                       日時(Time)の箇所はプルダウン メニューですが、手動で値を変更することも可能です。   PAN-OS 8.0                     PAN-OS 8.1                                     ここに書かれた推奨設定は、アンチウイルス、WildFire 、アプリケーションおよび脅威、の全てが対象となります。(ただし、WildFireのアップデートが毎分更新に設定されている場合を除きます。)   必要に応じて、ファイアウォールが最新のコンテンツをインストールするまでどれくらい待つかを決める ”しきい値” を設定してください。詳細については、管理者ガイド(ベストプラクティスの章)や以下の記事を参照してください。   https://www.paloaltonetworks.com/documentation/document-search?q=Best+Practices+for+Application+and+Threat+Content+Updates(英文) https://live.paloaltonetworks.com/t5/Management-Articles/Dynamic-updates-scheduled-with-a-threshold-set-but-are-never-or/ta-p/65952(英文)
記事全体を表示
ymiyashita ‎06-12-2018 01:09 AM
4,494件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Threat Database Handler (Commit Error) https://live.paloaltonetworks.com/t5/Featured-Articles/Threat-Database-Handler-Commit-Error/ta-p/120490     問題/現象 Palo Alto Networks デバイスにて以下のエラーでコミットが失敗します。   Threat database handler failed Commit failed Failed to commit policy to device     原因 AV アップデート プロセスや、コンテンツ アップデート プロセスが特別な理由もなく不意に失敗することがあります。この問題はPA-200においてよく見られますが、 PA-3000 のような他のプラットフォームでも見受けれます。壊れたAV シグネチャー データベース、またはコンテンツのデータベースがこれらのコミットの失敗を引き起こします。   回避策 CLIから Anti-Virus を手動でインストールすることによって、この問題を回避できるようになります。まず Anti-Virus ファイルを https://support.paloaltonetworks.com  > Dynamic Updates から手動でダウンロードし、そのファイルをパロアルトネットワークス ファイアウォールにアップロードします。アップロード後、以下のコマンドをCLIにて実行し、手動でAVをインストールします。   > request anti-virus upgrade install file panup-all-antivirus-2276-2715.candidate.tgz 2016/02/23 15:21:13 97473.4K panup-all-antivirus-2283-2722.candidate.tgz 2016/03/01 15:27:58 102607.3K <value>   もしこの回避策を行っても問題が解決しなければ、PAN-OS を以下に記載したバージョン以降のものにアップグレードするか、パロアルトネットワークス サポートにお問い合わせください。   解決手段 本問題に関する修正がPAN-OS バージョンの  7.1.2, 7.0.8, 6.1.13に含まれています。   トラブルシューティング 本事象のエラーが起きているかどうかは、device server ログ内に出てくる以下のAVキャッシュのエラーがあるかどうかで判断してください。   2016-02-24 01:39:29.493 -0500 [TDB] Load virus cache now 2016-02-24 01:39:29.493 -0500 load virus cache /opt/pancfg/mgmt/updates/curav/ 2016-02-24 01:39:29.493 -0500 Virus - Content Engine version: 0x7000000 version 6e308c2, min_ threat _version 92007b , path /opt/pancfg/mgmt/updates/curav/ 2016-02-24 01:39:29.814 -0500 Error: pan_tdb_do_load_virus_serialize(pan_tdb_ser.c:735) : Virus version mismatch 0x6df08be vs 0x6e308c2 2016-02-24 01:39:29.862 -0500 Error: pan_tdb_do_load_virus_cache(pan_tdb_handler.c:365) : [TDB] Load /opt/pancfg/mgmt/updates/curav//cache/virus.cache. ser-8 error, will load again 2016-02-24 01:39:29.862 -0500 [TDB] Loaded path /opt/pancfg/mgmt/updates/curav/ cache loaded 0 skip 0 2016-02-24 01:40:10.202 -0500 Error: pan_tcomp_sqlite3_compile(pan_tcomp_sqlite3.c:295) : SQL error: database disk image is malformed  
記事全体を表示
ymiyashita ‎05-03-2018 04:03 AM
3,535件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Meaning of Error Codes When Content Update Fails With "Auto update agent failed to download content" https://live.paloaltonetworks.com/t5/Management-Articles/Meaning-of-Error-Codes-When-Content-Update-Fails-With-quot-Auto/ta-p/54109   詳細 コンテンツの更新に失敗すると、システムログに次のような内容が表示されることがあります: xx/xx 04:30:17  Connection to Update server: staticupdates.paloaltonetworks.com completed successfully, initiated by xx.xx.xx.xx xx/xx 04:30:27  Connection to Update server closed: , source: xx.xx.xx.xx xx/xx 04:30:28    Auto update agent failed   to download content version xxxx-xxxx   ms.logでエラーの詳細が確認できます: --2014-xx-xx xx:xx:x-- https://staticupdates.paloaltonetworks.com/Updates/UpdateService.asmx/CheckForSignatureUpdate Resolving staticupdates.paloaltonetworks.com... 199.167.52.15 Connecting to staticupdates.paloaltonetworks.com|199.167.52.15|:443... connected.   2014-07-09 04:30:17 (4.00 MB/s) - `/tmp/.contentinfo.xml.tmp' saved [4215/4215] NO_MATCHES NO_MATCHES xxx xx 04:30:28   updater error code:-8 xxx xx 04:30:28 Error: pan_jobmgr_downloader_thread(pan_job_mgr.c:2080): DOWNLOAD job failed xxx xx 04:30:28 Error: _pan_mgmtop_finish_download_content(pan_ops_content.c:1351): Failed to download file   エラー コード 8 は Palo Alto Networks ファイアウォールがダウンロード サーバーに接続した後に予期しない応答または不正な応答を受け取ったことを示します。   以下によく見られるエラー コードと一般的な意味について記述します: 一般的な通信エラー(DNSの名前解決失敗など) パースエラー(‘.wgetrc’ や ‘.netrc’ などのコマンドライン オプションを解析する時など) ファイル I/O エラー ネットワーク障害 SSL検証失敗 認証失敗 プロトコル エラー サーバーからのエラー応答   著者: kkondo  
記事全体を表示
tsakurai ‎04-28-2018 07:35 PM
4,108件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 What Will Cause a URL to be Categorized as 'private-ip-address'? https://live.paloaltonetworks.com/t5/Management-Articles/What-Will-Cause-a-URL-to-be-Categorized-as-private-ip-address/ta-p/52194   カテゴリ 'private-ip-address' は、RFC 1918で定義されている以下のIPアドレスに使用されます: 10.0.0.0 - 10.255.255.255 (10/8 prefix) 172.16.0.0 - 172.31.255.255 (172.16/12 prefix) 192.168.0.0 - 192.168.255.255 (192.168/16 prefix) 169.254.0.0 - 169.254.255.255 (169.254/16 prefix)   'private-ip-address' カテゴリは、'.local' のように公的に登録されていないトップレベルドメインにも使用されます。 これには、トップレベルドメインを含まない短い名前を使用するURLも含まれます。 以下を参照してください:   著者: jteetsel  
記事全体を表示
tsakurai ‎04-28-2018 07:33 PM
3,030件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Integrating Cisco ISE Guest Authentication with PAN-OS https://live.paloaltonetworks.com/t5/Integration-Articles/Integrating-Cisco-ISE-Guest-Authentication-with-PAN-OS/ta-p/98295     Cisco ISEがPAN-OSにユーザーID情報を送付する設定について記述したものです。この設定例では、Cisco ISE 1.4.0-253とPAN-OS 6.1/7.0を使用しています。  この設定例では、ユーザーIDがActive Directoryで既に動作しています。ゲスト情報のみをCisco ISEから得ることを設定者は考えています。この振る舞いは、正規表現にてサブネットを追加/削除することにより変更できます。   Cisco ISEはネットワーク上のユーザーを認証するためのRADIUSサーバーとして動作します。RADIUS認証、アカウンティングログをPAN-OSに送付することができます。   — 詳細   Cisco ISE上で新規Remote Log Targetを設定します。デバイスはPAN-OS装置になります: Administration > System > Logging > Remote Logging Targets を選択します。 Addをクリックします。 Nameにご自由に名前を入れて、Target TypeにはUDP Syslogを選択します。IP addressには、PAN-OS管理インターフェイスのIPアドレスを入力します。 Submitをクリックします。   他にUser-IDログ情報を送りたいデバイスがある場合は、操作を繰り返します。   ISEでPassed Authentication Syslog Messages転送設定をします。 Administration > System > Logging > Logging Categoriesを選択します。 Passed Authenticationsをクリックします。 先程作成したremote log targetを選んで、“Available”欄から、“>”をクリックして、“Selected”欄に移します。 Saveをクリックします。    ユーザー ID Syslog リスナー UDPをPAN-OS上で有効にします。 Device > セットアップ > 管理インターフェイス設定を選択します。 ユーザー ID Syslog リスナー UDP のチェックボックスを選択します。 OKをクリックします。   Syslog 解析プロファイルを送付されてくるsyslog messagesとマッチするように設定します。 Device > ユーザー ID > ユーザー マッピングを選択します。 Palo Alto Networks ユーザー ID エージェント設定を編集、Syslog のフィルタをクリックします。 追加を選択します。 下記のようにすべての情報を入力します。   ここは注意が必要な個所です。-- 無線装置には、Cisco ISEはUser-ID情報を認証ログのみに、そして有線装置にはUser-ID情報をアカウンティングログのみに送付します。   参照例としては、   10.10.130.0/24 = 無線ゲスト 10.10.30.0/24 = 無線ゲスト 10.10.140.0/24 = 有線ゲスト イベントの正規表現は以下のようになります。   Syslog 解析プロファイル: Cisco ISE イベントの正規表現: ([A-Za-z0-9].*CISE_Passed_Authentications.*((Framed-IP-Address=10\.10\.130)|(Framed-IP-Address=10\.10\.30))|([A-Za-z0-9].*CISE_RADIUS_Accounting.*(Framed-IP-Address=10\.10\.140))) ユーザー名の正規表現: (?<=UserName=|User-Name=)[\w-]+ アドレスの正規表現: Framed-IP-Address=([0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3})  OKをクリックします。   Cisco ISE 2.1のsyslog 解析プロファイルは以下のようになります。 Event Regex ([A-Za-z0-9].*CISE_Passed_Authentications.*Framed-IP-Address=.*)|([A-Za-z0-9].*CISE_RADIUS_Accounting.*Framed-IP-Address=.*) Username Regex User-Name=([a-zA-Z0-9\@\-\\/\\\._]+)|UserName=([a- zA-Z0-9\@\-\\/\\\._]+) Address Regex Framed-IP-Address=([0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1 ,3}\.[0-9]{1,3})   ISEサーバーをサーバー モニタリングに追加します。 Device > ユーザー ID > ユーザー マッピングを選択します。 サーバー モニタリングにて、追加をクリックします。 名前と内容は自由に入力します。 タイプでは、Syslog Senderを選択します。 ネットワーク アドレスにはCisco ISEのIPアドレスを入力します。 接続タイプはUDPを選択します。 フィルタにはCisco ISEを選択します。 デフォルト ドメイン名にはNetbiosドメイン名、もしくは、環境に即した情報を入力します。 OKをクリックして閉じ、Commitをクリックします。     準備ができました。PAN-OS装置はCisco ISEからUser-ID情報を受け取れているはずです。以下のコマンドで動作確認をすることができます。   show user server-monitor state  show user ip-user-mapping all type SYSLOG test user-id user-id-syslog-parse tail follow yes mp-log useridd.log   参考情報 Configuring Cisco ACS to send RADIUS Accounting directly to the firewall using Syslog Configuring ISE to Forward User Login Events to CDA   著者: Marcos
記事全体を表示
kkondo ‎04-25-2018 08:44 PM
3,166件の閲覧回数
0 Replies
 ※この記事は以下の記事の日本語訳です。 How to Create and View NAT Rules on the CLI https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Create-and-View-NAT-Rules-on-the-CLI/ta-p/66162   このドキュメントでは、CLI(コマンドラインインターフェイス)でNATルールを作成および表示する方法について説明します。     CLIでNATルールを作成するには、次のコマンドを使用します: # set rulebase nat rules <NAT Rule Name> description <Description of NAT rule> from <Source Zone> to <Destination Zone> service <Service Type> source <Source IP Address>  destination <Destination IP address> source-translation <Type of Source Translation> interface-address interface <Interface Port number>   以下の例では、ダイナミックIPとポートを使用してスタティックNATを作成し、ethernet1/4 を使用しています。 > configure # set rulebase nat rules   StaticNAT   description   staticNAT   from   DMZ   to   L3-Untrust   service   any   source   any   destination   any   source-translation   dynamic-ip-and-port   interface-address interface   ethernet1/4 # commit # exit   コミット後、次のコマンドを使用してNATルールの作成を確認します。 > show running nat-policy   StaticNAT {         from DMZ;         source any;         to L3-Untrust;         to-interface  ;         destination any;         service  any/any/any;         translate-to "src: ethernet1/4 10.46.40.56 (dynamic-ip-and-port) (pool idx: 2)";         terminal no; }   owner: rupalekar
記事全体を表示
dyamada ‎04-17-2018 09:15 PM
3,253件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Unlock Users on the Lock List for Failed Maximum Authentication Attempts https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Unlock-Users-on-the-Lock-List-for-Failed-Maximum/ta-p/66195   事象 認証の試行が許容されたログイン回数を超えると、ユーザーはロックされた状態になり、以下のエラーメッセージがauthdログに表示されます。   "pan_authd_generate_alarm(pan_authd.c:808): Generating alarm for auth failure log: Admin jai failed to authenticate 2 times - the unsuccessful authentication attempts threshold reached. Admin jai's account is being disabled due to excessive failed authentication attempts".   原因 ユーザーが最初に認証しようとしたときに、許容ログイン回数が2に設定され、ロックアウト時間が10分に設定されている場合、最初の プロファイルがチェックされます。試行が失敗すると "Profile2" がチェックされ、それでも失敗すると、ロックアウト時間に指定された短い時間ロックされた状態にプッシュされます。   失敗した試行が3に設定されている場合、最初の試行でプロファイル  "Profile" を確認し、2回目の試行で "Profile2" をプロファイルし、3回目の試行で プロファイル "Profile" を再度チェックします。ユーザーに2つの認証プロファイルがあり、失敗した試行が1と設定されている場合、2番目のプロファイル "Profile2" は評価されず、ユーザーは直ちにロックされた状態に移行します。   デバイス> 認証シーケンス は以下になります:   注 : ロックアウト時間が0分に設定されている場合、ユーザーは特定の時間が経過してもロックが解除されないため、対象者が管理者の場合は Device > 管理者 タブ、ほかのユーザーの場合は Device > 認証プロファイル を使用して管理者が手動でロックを解除する必要があります。   ユーザーがロックされると、次のCLIコマンドを実行した際に以下のログが表示されます。 >   tail follow yes mp-log authd.log   2回試行した後、ユーザーは無効になり、ロック状態になります:   syslogは次のログを生成します。これは、アカウントがロックされ、ロックされたユーザーリストに置かれていることを示しています。   解決策 デバイス > 認証プロファイル に移動します 最後「ロックされたユーザー」列で、「ロック解除」アイコンをクリックします: 対象ユーザーは以下のようにロックが解除されます: デバイス> 管理者 で対象の管理者ユーザーのロックを解除することもできます:   owner: dantony
記事全体を表示
dyamada ‎04-17-2018 09:12 PM
2,686件の閲覧回数
0 Replies
Ask Questions Get Answers Join the Live Community